Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Web Güvenliği Doç.Dr. İbrahim ÖZÇELİK Arş.Gör. Kevser OVAZ.

Benzer bir sunumlar


... konulu sunumlar: "Web Güvenliği Doç.Dr. İbrahim ÖZÇELİK Arş.Gör. Kevser OVAZ."— Sunum transkripti:

1 Web Güvenliği Doç.Dr. İbrahim ÖZÇELİK Arş.Gör. Kevser OVAZ

2 Bilginin Değeri ve Bilgi Toplama Yöntemleri 1. Pasif Bilgi Toplama ▫Hedef sistem ile doğrudan iletişime geçilmez, herhangi bir iz bırakmadan internetin imkanları kullanılarak yapılır ▫whois,DNS sorguları, forumlar, mail listeleri vb. ▫DNS kayıtları, IP adres blokları, alt alanların bulunması, hedefteki yazılım bilgileri, e-postalar… ▫whois sorgusu: ilgili birimde çalışanların telefon numaraları, eposta adresleri, e-posta adresi kullanım şekilleri vb. ▫“whois ” ▫TCP/43 ▫ICANN: IP adresi (IP ler RIR(Regional Internet Registrars) ile dağıtılır) ve domain ismi *Dünya üzerinde ip adreslerinin bilgisini tutan dört farklı RIR vardır

3 1. Pasif Bilgi Toplama – IP Hk. IP adres bloğu ağ keşfi için ön adımdır Her sunucunun IP adresi farklı olacağından birden fazla IP adresine yoğunlaşmak gerekebilir Hizmet veren servislerin bulunması IP adresi bulunmasından sonraki adımdır Sorgulama: ▫Whois komutu ▫Whois sunucular ▫RIPE (Avrupa) üzerinde Afrikadan bir IP sorgusu yapılamaz. IP nereye ait olduğunu bilmiyorsak ARIN üzerinde (Amerika) sorgu yapıp hangi whois sunucuya ait olduğunu öğrenebiliriz ▫Örn: (ripe ve arin whois sorgusu)

4 1. Pasif Bilgi Toplama – Alan Hk. Tüm alan adları dağıtımı ICANN tarafından kontrol edilir Alan isimleri özel şirketler tarafından ücretlendirilir (satılmaz, kiralanır) Whois sorgusu ile domain sorgulanabilir ▫http://www.networksolutions.com/whois/index.jsphttp://www.networksolutions.com/whois/index.jsp ▫Whois sorgusundaki bilgileri saklamak için proxy hizmeti veren firmalar kullanılabilir. Sadece Registrar ismi (godaddy.com gibi) görülebilir

5 1. Pasif Bilgi Toplama – Alan Hk. Domain Güvenliği Domain kiralama firmalarında domain hakkında tüm kontrolün verilmesi Alan adı kiralama prosedürlerinin zafiyeti (uzaktan faks ile başkasının üzerine alınması) Türkiye'de nüfus cüzdanı fotokopisinin yeterliliği *Suriye Elektronik Ordusu bu şekilde sosyal ağların birkaçını hackledi Sonuçlar: phishing saldırıları yapılabilir şifrelenmemiş tüm e-postalar okunabilir site farklı bir yere yönlendirilebilir VPN hesapları ele geçirilebilir

6 1. Pasif Bilgi Toplama – Alan Hk. Domaine ait e-postaların alınması ▫Sosyal mühendislik ▫Internet üzerinden (arama motorları ile) IP`ye ait alanın bulunması ▫IP de host edilen sayfadaki açıklık sunucuya erişmemizi sağlayabilir ▫Ters DNS kayıtları  >dig –x  >nslookup –q=ptr ▫Arama motorları  IP: ▫*Robtex.com gibi servislerle  Kiralama şirketi önlem almadıysa elindeki IP aralığında olan saldırgan tüm subnete saldırı yapabilir ▫Passive DNS kopyalama yöntemiyle

7 1. Pasif Bilgi Toplama – devam.. Web sayfası geçmişi ▫www.archive.orgwww.archive.org Netcraft.com üzerinden uptime, OS, versiyon bilgisi alınabilir E-posta listelerindeki ekran görüntüleri (log, hashlanmiş şifreler) Web sayfalarının yorum satırlarında unutulmuş bilgiler Pipl.com ile kişi arama

8 1. Pasif Bilgi Toplama – devam.. Arama Motorları ▫Tinyeye & google image  resmin kaynağını başka hangi sitelerde kullanıldığını gösterir) ▫Shodan  Güvenlik testleri için tasarlanmıştır  Filtreler ile sunucu, zafiyet, internete açık sistemlerde default şifresi değiştirilmemiş uygulama araması “default password” Arama kriterleri: country: tr port: 8080 ip: /24 "cisco-ios" "last-modified" country:Tr

9 1. Pasif Bilgi Toplama – devam.. Pastebin ▫İnternet üzerinden kopyala yapıştır mantığı ile çalışan bir site ▫Çoğunlukla anonim paylaşımlar ▫Turkey, Facebook aramalarındaki sonuçlar ▫btk.gov.tr Google: Hacking database ▫Güvenlik üzerine yapılan aramaların toplanmış şeklidir ▫*googleda: intitle:”index of”.mysql_history ▫hackertarget.com ▫clez.net

10 2. Aktif Bilgi Toplama Pasif bilgi toplamadan daha fazla ve güvenilir bilgi edinilebilir Hedefle doğrudan iletişime geçilir Pasif bilgiye göre komut satırı alışkanlığı gerektirir İz bırakılmamaya dikkat edilmelidir (firewall, IDS, web, ftp sunucu logları)

11 Ağ Haritası Bulma – Traceroute kullanımı Traceroute komutundaki TTL alanı ▫1 den başlayarak her defasından 1 arttırmak Hedefte icmp udp portaları kapalı ise traceroute sonuc vermez yeni nesil traceroute kullanılabilir ▫tcptraceroute 80 ile sisteme giden yol ve güvenlik duvarı tespit edilir ▫Programla traceroute kullanımı: serversniff

12 Ağ Haritası Bulma Güvenlik Duvarı Keşfi –nmap kullanımı ▫SYN scan yapar ▫Cevap olarak ACK-SYN veya RST dönerse sistemin açık olduğu anlaşılır. Birkaç farklı porta cevap gelmezse firewall olabilir denilir ▫Nmap –sS /23 IP keşfi: IPSler imza mantığı ile çalışır ve default olarak imzalar tanımlanmıştır ▫Cmd.exe ▫/etc/password ▫404 hatası, http cevabı >> IPS yok yada imza tanımlanmamış ▫RST, timeout >> IPS var ▫Gelen Paket İncelenmeli!!

13 Ağ Haritası Bulma DNS sunucu Keşfi ▫dig NSwww.google.com ▫dig Web Sunucu Keşfi ▫Httprint aracı

14 Tor Kullanımı The Onion Router Tor sistemlerde sisteme dahil bileşenler arasında amaç şifreli veri aktarımıdır Çok açık ve geniş bir proxy Sadece Exit Node üzerinden izlenebilir Lokal sistemi TOR ağına dahil edip port tarama yapılabilir

15 Web Uygulamaları Statik sayfalar ▫html Dinamik sayfalar ▫Asp, php, cgi vs. Veritabanı ▫Mysql, nosql, oracle Web servisler Tarayıcılar Olası bir zafiyetin istismarı döngüdeki herhangi bir bileşeni etkiler

16 Web Güvensizliği Uygulama geliştirme için bir standart yok Yazılım işi ile uğraşanlar güvenlik konusunda yetkin değil Bir saldırı yapılacağında ilk önce yazılımsal hatalar araştırılır Pasif bilgi toplama ile atak yapılması olasıdır Korunma amaçlı (WAF) bileşenleri konfigürasyon fazlalığı İşlevsellik güvenlikten önce gelir..

17 Web Güvenliği Kavramları Defacement: Web sayfasının saldırı ile giriş sayfasının değiştirilmesi Hacking: Veri çalma, ifşa etme, sızma vb. ▫Fazla ilgi ve beceriye dayandığı için sonuçları daha fazla etki yaratır Root’lama: Web sunucudaki açıktan faydalanarak root yetkisine erişme ▫Linux kernelindeki local privilege esc. Exploitleri kullanılarak gerçekleşir

18 HTTP HTTP OSI modelinde uygulama katmanındadır İnternet protokolü Port 80 İletim katmanı için TCP kullanır İstemci sunucu mantığı ▫Bağlantı açılır, kullanıcı istek yollar,cevap döner ve TCP bağlantısı yapılır Her istek için 1 bağlantı yapılır Webte http protokolü üzerinden iletişim varsa; 3’lü el sıkışma vardır!

19 HTTP Metotları Get: Web sayfayı okuma isteği Post: Belirli bir bilgi ile birlikte gelen paket Head: Web sayfa başlığını okuma isteği Options: Farklı istekleri sorgular Trace: Gelen isteği takip eder Put: Web sayfayı depolar Delete: Web sayfayı kaldırır Connect: İleriki kullanım için bırakılmış

20 HTTP GET Paketi Ortalama 400byte Tarayıcının önbelleğine alınır. Şifre ve gizli bilgiler yollanmamalıdır

21 HTTP İstek ve Cevap Mesajları

22 Web Sunucu Keşfi Açıklıkların keşfi explotation için gereklidir ▫IIS6, php 4.x sürüm açıklıkları İşletim sistemi, sürüm, sunucu yazılımı, uygulama profilleri bilgileri ▫Httprint, nmap, netcraft, blindelephant (sürüm bilgisi) vs. Hata mesajlarından bilgi toplama Alt dizin ve dosyaların bulunması brute force yolu ile yapılabilir (dirbuster, adminfinder)

23 Web Güvenliği Araçları Burp suite ▫Web proxy uygulaması ▫http isteklerini manipüle etmeyi sağlar Owasp ZAP ▫Client server arasında girerek istekleri görür, replay yapar, tarama yapar Firefox eklentileri (live http header, tamper data, firebug vs.) Sqlmap Nmap Metasploit Online araçlar

24 Gizli Form Elemanları Sunucu tarafında yapılması gereken işlemler kullanıcı tarafında hidden form üzerine yapılmamalıdır Değerler kolayca değiştirilebilir Bazı alışveriş sitelerine halen kullanılmakta

25

26

27 Web Sunucularına Yönelik Saldırılar DoS-DDoS saldırıları ▫Kaba kuvvet ve Flood  Get/post Flood saldırıları, synflood saldırıları, brute- force vs..  Tek bir makinadan veya botnet sistemler üzerinden yapılabilir  Netstress, Ab, DOSHTTP, Siege vs.  *hping3 --udp --flood –p IP ▫Tasarım veya yazılımdan kaynaklanan zaafiyetlerin istismarı

28 Mail Bombalama Farkli SMTP sunuculardan tek bir adrese

29 Aktif Online Parola Saldirisi Web ve mail sunucularina yönelik ataklar Zorlu parolalarda başarı çok düşüktür Hesap kilitlenebilir DoS saldırısı olarak değerlendirilme Hedefin ilgili portunun açık olması gerekir ▫telnet, ftp, ssh, smtp, www ▫Nmap kullanılabilir

30 Aktif Online Parola Kırma Araçları Bruter ▫Html formlarında kimlik doğrulama testleri Medusa Metasploit Aux Module Hydra Brutessh Ncrack

31 Aktif Online Parola Kırma Araçları Medusa

32 İstismarlar XSS: Cross Site Scripting Html/dhtml/css/javascript kodunun izinsiz olarak kullanıcı tarayıcısında çalıştırılması ile oluşur ▫Reflected xss: sosyal mühendislik ile bulaşır, linke tıklanınca sunucu tarafından html kodu üretilir ve kullanıcıda çalıştırılır ▫Stored xss: Zararlı script veritabanına kaydedilir. Bu kodun olduğu sayfalar ziyaret edildiğinde tarayıcıda çalıştırılır (her ziyaret edileni arkadaş olarak ekleme vs.) ▫Dom Tabanlı xss: Kullanıcı tarafındaki yanlış yazılmış javascriptlerden dolayı yanlış yazılan girdiler sonucunda oluşur(sosyal müh.)

33

34 Xss Payloadları

35 XSS Problemleri ve Engellenmesi Bilgi hırsızlığı ▫Oturum çalma, veri çalma, ekran çalma Port tarama, geçmiş inceleme Lokalde IP çalma XSS Botnet Worm Açıklık tarama Girdilerin daha fazla denetlenmesi AntiXSS frameworkler kullanılması Cookie2’lerde http-only özelliğinin aktif edilmesi

36 SQL Injection Create, select, insert, mantıksal ifadeler… Select * from users where id=$id; Select * from users where id=100 Select * from users where id=100 or 2>1

37 SQL Injection Tip ve Karakterleri Integer veya string üzerine Kör, zaman tabanlı, union, hata tabanlı, out of band ' or "character String Indicators -- or # single-line comment /*…*/ multiple-line comment +addition, concatenate (or space in url) ||(double pipe) concatenate %wildcard attribute indicator ?Param1=foo&Param2=bar URL Parameters PRINT useful as non transactional variable variable waitfor delay '0:0:10' time delay

38 1) Input Validation 2) Info. Gathering6) OS Cmd Prompt 7) Expand Influence 4) Extracting Data 3) 1=1 Attacks 5) OS Interaction

39 Kod enjeksiyonu Hedef web uygulamasında zararlı kod çalıştırılması Çoğunlukla PHP az da olsa ASP.NET uygulamasında görülür PHP: modülariteyi arttırmak için php dosyasına başka php dosyası ekleme özelliği bulunmaktadır (include, require, require_once vs.)

40 Fimap Aracı Python ile yazılmış bir araç Php tabanlı uygulamalarında RFI(remote file) ve LFI(local file inclusion) arar & kalihttp://code.google.com/p/fimap fimap -u "http:// /index.php"

41 OS Commanding İşletim sistemi üzerine komut yollama yoluyla donanımın kontrol edilmesidir >ls –al >dir Ping

42 Web Saldırılarını Önleme Saldırılar genelde 80/443 portundan gelmektedir. Bu portlar güvenlik duvarlarında çoğunlukla açık bulunur. Bu yüzden güvenlik duvarı engelleyemez Sistemde IPS bulunursa 80 portu kontrol edilebilir ▫Açıklığı bilinen uygulamalar ve imzası olan açıklıklar engellenebilir

43 WAF WAF (web application firewall) da kullanılabilir ▫http uygulama seviyesindeki güvenlik duvarı ▫Modsecurity, citrix netscaler, imperva vs. ▫WAF keşfi için Waf00f gibi yazılım ya da XSS, SQL denemeleri yapılmalıdır Bridge: web sunucunun önüne bridge modda yerleştirerek trafiği üzerinden geçirmek Offline: Web sunucunun bağlı olduğu switch’ten geçen trafik mirrorlanarak kopyasının alınması Integrated: Web sunucusuna direkt bağlamak (sık kullanılan model) Reverse proxy: Web sayfasına erişmek isteyen herkes proxy modundaki WAF kontrolünden geçerek sunucuya ulaşır (konf. fazla)


"Web Güvenliği Doç.Dr. İbrahim ÖZÇELİK Arş.Gör. Kevser OVAZ." indir ppt

Benzer bir sunumlar


Google Reklamları